上周末,勒索軟件攻擊導(dǎo)致美國最大的成品油管道——Colonial Pipeline的運(yùn)營被中斷。
上周六,Colonial Pipeline發(fā)表聲明宣布遭遇網(wǎng)絡(luò)攻擊,導(dǎo)致部分IT系統(tǒng)停機(jī),管道運(yùn)營中斷。上周日,該公司在聲明更新中指出遭遇了勒索軟件攻擊,已經(jīng)聘請第三方網(wǎng)絡(luò)安全公司(據(jù)稱是FireEye),對事件展開調(diào)查。
Colonial Pipeline在最新的聲明中指出:
5月7日,Colonial Pipeline公司發(fā)現(xiàn)遭受網(wǎng)絡(luò)攻擊。此后,我們確定該事件涉及勒索軟件。作為響應(yīng),我們主動使某些系統(tǒng)脫機(jī)以控制威脅,該攻擊暫時停止了所有管道的運(yùn)行,并影響了我們的某些IT系統(tǒng)。得知此問題后,一家領(lǐng)先的第三方網(wǎng)絡(luò)安全公司被聘用,他們已經(jīng)對該事件的性質(zhì)和范圍進(jìn)行了調(diào)查,該調(diào)查正在進(jìn)行中。我們已經(jīng)聯(lián)系了執(zhí)法部門和其他聯(lián)邦機(jī)構(gòu)。
Colonial Pipeline正在采取步驟來理解和解決此問題。目前,我們的主要重點(diǎn)是安全高效地恢復(fù)服務(wù)以及努力恢復(fù)正常運(yùn)行。此過程已經(jīng)在進(jìn)行中,我們正在努力解決此問題,并最大程度地減少對我們的客戶以及那些依賴Colonial Pipeline的客戶的干擾。
Colonial Pipeline是美國最大的成品油管道,每天通過管道系統(tǒng)輸送超過1億加侖的燃料,該管道系統(tǒng)連接得克薩斯州休斯頓和新澤西州林登,跨度長達(dá)5500多英里(下圖),美國東海岸45%的燃料都由該管道系統(tǒng)提供,此外Colonial Pipeline還為美國軍方提供精煉石油產(chǎn)品,例如汽油、柴油、噴氣燃料。
2019年,政府問責(zé)局(GAO)的審計顯示,美國國土安全部(DHS)的運(yùn)輸安全管理局(TSA)需要解決其管道安全計劃中的重大管理缺陷。
值得注意的是,近期美國政府一再警告針對政府實體和關(guān)鍵基礎(chǔ)設(shè)施部門(包括能源、核能、供水、航空和關(guān)鍵制造業(yè))的針對性攻擊正在激增。
就在Colonial Pipeline遭遇攻擊之前數(shù)日,美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)剛剛發(fā)布了新的網(wǎng)絡(luò)安全風(fēng)險公告(鏈接在文末),指出在所有16個關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域中即將出現(xiàn)嚴(yán)重威脅,并提供了詳細(xì)的建議,包括如何保護(hù)工控系統(tǒng)的OT網(wǎng)絡(luò)環(huán)境,并強(qiáng)烈建議立即創(chuàng)建準(zhǔn)確的,可操作的OT網(wǎng)絡(luò)圖。
所謂OT網(wǎng)絡(luò)圖,就是所有OT、物聯(lián)網(wǎng)、工業(yè)IoT(IIoT)資產(chǎn)、流程、連接路徑和用戶活動的圖譜和清單。
但是工控系統(tǒng),尤其是OT網(wǎng)絡(luò),依然存在讓全球工控系統(tǒng)安全團(tuán)隊頭痛的四大難題:
缺乏標(biāo)準(zhǔn)化。OT網(wǎng)絡(luò)通常由已存在數(shù)十年的OT資產(chǎn)組成,并與各種現(xiàn)代資產(chǎn)一起工作。不僅增加了復(fù)雜性,而且往往運(yùn)營在地理上分散在多個地點(diǎn),其中一些地點(diǎn)位于偏遠(yuǎn)地區(qū),如能源或采礦部門。
停機(jī)時間容忍度低。運(yùn)行這些網(wǎng)絡(luò)的團(tuán)隊優(yōu)先考慮可用性而不是機(jī)密性。傳統(tǒng)的IT資產(chǎn)發(fā)現(xiàn)工具嘗試與OT資產(chǎn)進(jìn)行通信時,會產(chǎn)生超過工控網(wǎng)絡(luò)負(fù)載的流量,帶來的中斷和停機(jī)風(fēng)險是無法避免的。
專有協(xié)議。OT資產(chǎn)使用各種專有的、特定于供應(yīng)商的協(xié)議進(jìn)行通信。鑒于OT協(xié)議的絕對數(shù)量、兼容性和覆蓋范圍,資產(chǎn)發(fā)現(xiàn)需要大量的投資和精力。
遠(yuǎn)程用戶活動。VPN等許多傳統(tǒng)的遠(yuǎn)程訪問解決方案對遠(yuǎn)程用戶操作的可見性有限,這使其不適用于處理工業(yè)環(huán)境。
網(wǎng)絡(luò)安全公司CI Security的首席安全官邁克·漢密爾頓指出,Colonial Pipeline的燃?xì)夤艿酪驯欢ㄐ詾殛P(guān)鍵基礎(chǔ)設(shè)施。故意破壞或破壞這些系統(tǒng)可被視為恐怖主義行為。此事件不排除是國家黑客以勒索軟件作為掩護(hù)實施攻擊。
美國天然氣管道運(yùn)營商上一次遭受攻擊是2014年,當(dāng)時美國幾家天然氣管道運(yùn)營商的第三方通信系統(tǒng)遭到網(wǎng)絡(luò)攻擊,影響了OT網(wǎng)絡(luò)的運(yùn)營。美國國土安全部最早曾在2012年發(fā)布警告說,不法分子已經(jīng)將天然氣行業(yè)作為攻擊目標(biāo)。